инжекционное нападение (я думал, что был защищен!) <? php / **/eval (base64_decode (везде

У меня есть полностью пользовательский сайт PHP с большим количеством вызовов базы данных. Я просто взломал инжекцию. Этот небольшой блок кода ниже обнаружился на десятках моих страниц PHP.

<?php /**/ eval(base64_decode(big string of code....

Я был довольно осторожен относительно своих вызовов SQL и такого; они - все в этом формате:

$query = sprintf("UPDATE Sales SET `Shipped`='1', `Tracking_Number`='%s' WHERE ID='%s' LIMIT 1 ;",  
 mysql_real_escape_string($trackNo),
 mysql_real_escape_string($id)); 
 $result = mysql_query($query);  
 mysql_close();

Для записи я редко использую mysql_close() в конце все же. Это просто, оказалось, было кодом, который я захватил. Я не могу думать ни о каких местах, где я не использую mysql_real_escape_string(), (хотя я уверен, что существует, вероятно, пара. Я буду держать скоро для обнаружения). Нет также никаких мест, где пользователи могут вставить пользовательский HTML или что-либо. На самом деле большинство доступных для пользователя страниц, если они используют SQL, заходит во все, почти неизбежно SELECT * FROM страницы, которые используют ПОЛУЧЕНИЕ или POST, завися.

Очевидно, я должен увеличить свою безопасность, но у меня никогда не было нападения как это, и я не положителен, что я должен сделать. Я решил поместить пределы на все свои исходные данные и пройти надеющийся видеть, пропустил ли я a mysql_real_escape_string где-нибудь. У кого-либо еще есть какие-либо предложения?

Кроме того, что делает этот тип кода? Почему это там?